Plateforme
java
Composant
org.apache.kafka:kafka-clients
Corrigé dans
3.9.2
4.0.2
4.1.2
3.9.2
Une race condition a été découverte dans la gestion du pool de tampons du client producteur Java Apache Kafka. Cette vulnérabilité peut entraîner la livraison silencieuse de messages vers des sujets inattendus, compromettant l'intégrité des données. Elle affecte les versions de Kafka clients inférieures ou égales à 3.9.1. Une correction a été publiée dans la version 3.9.2.
La vulnérabilité CVE-2026-35554 dans les clients Apache Kafka affecte la gestion du pool de tampons (buffer pool) du producteur Java. Il s'agit d'une condition de concurrence qui, dans certaines circonstances, peut entraîner la livraison silencieuse de messages vers des sujets incorrects. Cela se produit lorsqu'un lot de production expire en raison du délai d'expiration de la livraison (delivery.timeout.ms) alors que la requête réseau contenant ce lot est toujours en cours. Le ByteBuffer associé à ce lot est prématurément désalloué et renvoyé au pool de tampons. Si un lot de production ultérieur, potentiellement destiné à un sujet différent, réutilise ce tampon libéré avant que la requête réseau d'origine ne soit terminée, les données du lot d'origine pourraient être écrites dans le mauvais sujet, sans notification d'erreur.
L'exploitation de cette vulnérabilité nécessite un environnement où les délais d'expiration de la livraison sont suffisamment longs pour permettre à la condition de concurrence de se produire. Un attaquant pourrait tenter d'envoyer un grand volume de messages vers différents sujets, en tirant parti de la réutilisation des tampons pour envoyer des messages vers des sujets non autorisés. La difficulté d'exploitation dépend de la configuration du réseau et de la charge du système. La probabilité d'exploitation est considérée comme faible à modérée, mais l'impact potentiel sur l'intégrité des données est important. Des tests d'intrusion sont recommandés pour évaluer la vulnérabilité dans des environnements spécifiques.
Statut de l'Exploit
EPSS
0.04% (percentile 11%)
Vecteur CVSS
L'atténuation principale pour CVE-2026-35554 est de mettre à niveau vers la version 3.9.2 ou supérieure des clients Apache Kafka. Cette version corrige la condition de concurrence dans la gestion du pool de tampons. En attendant, comme mesure temporaire, envisagez de réduire la valeur de delivery.timeout.ms. Cela diminuera la probabilité qu'un lot expire avant que la requête réseau ne soit terminée, mais peut augmenter la latence de la livraison. Surveillez régulièrement les journaux Kafka pour détecter tout comportement inhabituel, tel que des messages apparaissant dans des sujets inattendus. L'application de correctifs doit être priorisée pour éviter d'éventuels problèmes d'intégrité des données.
Actualice a Apache Kafka Clients versión 3.9.2 o superior, 4.0.2 o superior, 4.1.2 o superior, o 4.2.0 o superior para mitigar la vulnerabilidad de corrupción de mensajes y enrutamiento incorrecto debido a una condición de carrera en el pool de búferes.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
C'est un ensemble de tampons (zones de mémoire) que le producteur Kafka utilise pour stocker les messages avant de les envoyer au broker. Son objectif est d'optimiser les performances.
La version 3.9.2 inclut la correction de cette vulnérabilité, éliminant la condition de concurrence et empêchant la livraison silencieuse de messages vers des sujets incorrects.
C'est une erreur qui se produit lorsque le résultat d'un programme dépend de l'ordre dans lequel plusieurs processus ou threads sont exécutés.
Vérifiez la version de vos clients Kafka. Si vous utilisez une version antérieure à 3.9.2, vous êtes probablement affecté.
En tant que mesure temporaire, réduisez la valeur de delivery.timeout.ms et surveillez les journaux Kafka pour détecter toute anomalie.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier pom.xml et nous te dirons instantanément si tu es affecté.